前回の記事では、SPP と Safeguard for Privileged Sessions(SPS)の連携利用例として、
特権アカウントの利用申請者が SPP の Web GUIから .rdp ファイルをローカル環境にダウンロードした後、その .rdp ファイルを手動で起動し、対象システムへのリモートデスクトップ接続(=SPS セッション)を開始する手順を紹介しました。
今回は、SPP の Web GUI から(.rdp ファイルを手動で起動することなく)直接 SPS セッションを開始する方法を紹介します。これには、SCALUS と呼ばれるオープンソースデスクトップアプリケーションを使用します。
SCALUS とは
SCALUS とは、”Session Client Application Launch Uri System” の頭字語です。
SCALUS は、OneIdentity 社の特権アカウント管理製品である Safeguard からのリモートセッションの起動を支援するために、OneIdentity のハッカソン(Hackathon)プロジェクトとして開発されました。
SCALUS は、URI プロトコルハンドラーのディスパッチャーです。URL プロトコルとは、URL の「:」より前の部分です(例:http や https)。SCALUS を使用すると、URL プロトコルを登録し、それらの URL を処理するために起動するプログラム(Microsoft リモートデスクトップや FreeRDP など)を設定することができます。
SCALUS は ssh や rdp などのプロトコルを処理することを目的としていますが、標準 URL で使用される任意のプロトコルに使用することもできます。
※ 参照:OneIdentity /SCALUS(https://github.com/OneIdentity/SCALUS)
SCALUS のインストール
SCALUS を使用するためには、特権アクセスの申請者が利用するコンピューターに SCALUS をインストールする必要があります。ここでは、SCALUS のインストール手順を説明します。
SCALUS インストーラーは、弊社ソフトウェアダウンロードページからダウンロードしてください。
- 申請者が SPP Web GUI を使用するコンピューターにログインし、SCALUS インストーラーを保存します。
- SCALUS インストーラーを実行します。
- ライセンス使用許諾を確認し、[I accept~]にチェックをつけて、[Install]をクリックします。
- ユーザーアカウント制御画面が表示された場合は、[はい]をクリックします。
- インストールが完了したら、[Finish]を選択します。
SCALUS は、C:\Program Files\SCALUS にインストールされ、スタートメニューに SCALUS リンクが作成されます。
SCALUS Web GUI
SCALUS を起動すると、SCALUS の GUI がデフォルトの Web ブラウザーで表示されます。
SCALUS Web GUI では、URI プロトコルにアプリケーションを関連付けて、優先アプリケーションを実行するように構成をカスタマイズすることができます。
SCALUS はブラウザーのタブを閉じると終了します。
ユーザー操作例:RDP セッション申請 ~ 開始
ここでは、SCALUS インストール済み環境で RDP セッションを申請し、開始してみます。前回の記事(SCALUS 利用なし環境)との違いを確認してください。
(事前作業 1)SCALUS の設定(rdp プロトコル)
事前に、SCALUS で rdp プロトコルに Windows リモートデスクトップ接続アプリケーションを関連付けます。
- SCALUS を起動します。
- rdp プロトコルセクションで、Windows RDP Client を選択します。
- チェックマークをクリックします。
- チェックマークの横に+プラスアイコンが表示されたことを確認します。
これで、rdp プロトコルに Windows リモートデスクトップ接続アプリケーションが関連付けられました。SCALUS Web GUI を閉じます。
(事前作業 2)SPP Web GUI で [セッション起動ボタン] の表示
申請者の SPP Web GUI で 「私のリクエスト」の設定アイコンをクリックし、[セッション起動] ボタンを表示 をオンにします(トグルを右に移動させます)。
後述の「セッション開始」機能を使用するためには、このオプションが有効であることが必要です(デフォルトは無効です)。
申請者による RDP セッション申請
申請者が SPP Web GUI にログインし、[新しいリクエスト]をクリックします。
利用申請を行いたいアカウントのチェックボックスにチェックをつけ、「アクセスタイプ」で 「RDP」 を選択して[次へ]を選択します。
リクエストを送信します。
(リクエストの作成から送信までの手順は、SCALUS を利用しない環境の場合と同じです。)
申請者による RDP セッション開始
(今回は、「緊急アクセス」申請を行ったため、申請が即時に利用可能状態となります。)
ホーム画面で 「私のリクエスト」 をクリックします。
[RDP セッションの開始]を選択します。
前回は[RDP ファイルのダウンロード]を選択しました。詳しくは、前回のブログ記事 をご参照ください。
ポップアップ画面が表示された場合は、[scalus を開く]を選択します。
一瞬、黒い画面が表示されます。
「リモートデスクトップ接続」ダイアログで[接続]をクリックします。
[はい]をクリックします。
一瞬 SPS の画面が表示されます。
[はい]を選択して接続します。
接続すると、申請したアカウントでログインされます(ユーザー名、パスワードの入力は不要です)。
作業が終了したら、リモートデスクトップを終了します。
以降の作業は、前回と同じです。申請者がセッションの終了宣言(= チェックイン)を行い、レビュー担当者が、レビューを完了させます。
ユーザー操作例:SSH セッション申請 ~ 開始(Putty 使用)
SCALUS を利用すれば、Putty を使用して SSH セッションを自動開始させることもできます。
(事前作業)SCALUS の設定(ssh プロトコル)
SCALUS を起動し、ssh プロトコルに Putty アプリケーションを関連付けます。
申請者による SSH セッション申請
申請者が SPP Web GUIにログインし、[新しいリクエスト]をクリックします。
利用申請を行いたいアカウントのチェックボックスにチェックをつけ、「アクセスタイプ」で 「SSH」 を選択して[次へ]を選択します。
リクエストを送信します。
申請者による SSH セッション開始
(今回は、「緊急アクセス」申請を行ったため、申請が即時に利用可能状態となります。)
ホーム画面で 「私のリクエスト」 をクリックします。
[SSH セッションの開始]を選択します。
ポップアップ画面が表示された場合は、[scalus を開く]を選択します。
一瞬、黒い画面が表示されます。
Putty の警告画面が表示された場合は、[Accept]をクリックして、ホストキーを受け入れます。
申請したアカウントでログインされます(ユーザー名、パスワードの入力は不要です)。
作業が終了したら、Putty を終了します。
以降の作業は、これまでと同じです。申請者がセッションの終了宣言(= チェックイン)を行い、レビュー担当者が、レビューを完了させます。
さいごに
SCALUS を利用することで、特権アカウントの利用申請者は、リモート接続に使用したいアプリケーションをワンクリックで起動し、対象システムへログインすることができます。
SPP と SPS の連携利用環境で、よりシンプルかつ効率よくリモートセッションを開始したい場合は、SCALUS の利用もご検討ください。
SPP/SPS 製品紹介ページ
SPP および SPS には、この記事で紹介した以外にも機能があります。
その他の特長や機能については、それぞれの製品紹介ページをご参照ください。
SPP/SPS 評価版
SPP および SPS の評価版は、仮想アプライアンス(OVAまたはVHDXファイル)で提供いたします。
SPP および SPS の評価版では、すべての機能を 90日間無料でご利用いただけます。
評価版の利用をご希望いただく場合は、下記お問い合わせフォームから評価ライセンスをお申し込みください。
お問い合わせ
購入前の SPP に関するお問い合わせは、下記お問い合わせフォームからお問い合わせください。
